Журнал "Information Security/ Информационная безопасность" #5, 2021

Система позволяет авто- матически проанализиро- вать все файлы и сообщает, какие из них находятся в общем доступе, а к каким имеет доступ ограниченный круг лиц, и кто конкретно. Makves DCAP может ана- лизировать изменения в динамике и позволяет обнаружить и предотвратить одну из самых распростра- ненных угроз – вирус-шиф- ровальщик. Makves DCAP может перезагрузить машину или полностью заблокировать пользователя, таким обра- зом предотвратив угрозу. Утечка информации про- исходит не в момент пере- сечения данными перимет- ра, а в момент получения человеком доступа к этой информации. DCAP видит то, что не видит DLP, таким образом решения дополняют друг- друга. Makves DCAP находится на стыке безопасности и ИТ и может оптимизировать работу этих подразделений. мация. И это критерий. Таким заказчикам важно знать, где эти файлы находятся, кто к ним имеет доступ. Система позво- ляет автоматически проанали- зировать все файлы и сообща- ет, какие из них находятся в общем доступе, а к каким имеет доступ ограниченный круг лиц и кто конкретно. – Расскажите о Makves DCAP. – DCAP – Data Centric Audit and Protection. Makves DCAP – система аудита так называе- мых неструктурированных дан- ных. Неструктурированые дан- ные – это все, что находится не в базах данных, то есть "файловые помойки" из эксе- лей, вордов, пдф и вообще чего угодно. Системы класса DCAP занимаются тем, что ана- лизируют все эти "файловые помойки". Наш продукт, с одной сторо- ны, достаточно молодой, а с другой – ему скоро исполнится три года. Российский рынок только развивается в этом направлении. Существует пласт американских решений, кото- рым уже более 10 лет, они соз- дали некие правила игры на рынке. В нашей стране пока что присутствует 2–3 россий- ских DCAP-решения. Makves DCAP собирает информацию из Active Directory, рабочих станций, файловых и почтовых серверов. Выявляет данные с чувствительной информацией и вносит их в список особо защищенных, формирует наглядную матрицу доступа пользователей к фай- лам, папкам и почтовым ящи- кам. Затем проводит аналитику и выдает выявленные наруше- ния. Допустим, система обнару- жила неактивную учетную запись сотрудника, возможно он давно уволен, а запись до сих пор не заблокирована – ее надо отключать. Или, например, у одних пользователей нет авто- матической смены пароля, а другие вообще без пароля заходят, что неприемлемо. Система выдает рекомендации проверить прямые права, файлы с персональными дан- ными, находящиеся в общем доступе, и проинспектировать дубликаты. Дубликаты опасны тем, что на практике оказы- ваются копиями конфиденци- альных документов в открытом доступе. Makves DCAP может анали- зировать изменения в динами- ке, например: открыли файл, событие зафиксировано; пере- местили файл – событие зафик- сировано; дали новому пользо- вателю доступ, добавили права к новой папке – система увиде- ла нетипичное поведение и уве- домила оператора. Более того, Makves DCAP позволяет актив- но реагировать на нарушения. Например, позволяет обнару- жить и предотвратить одну из самых распространенных угроз – вирус-шифровальщик. Допустим, обычно сотрудник компании совершает 50 дей- ствий с файлами в день, но вдруг начинает выполнять 500 в минуту – система фикси- рует такую активность как ано- мальную и сразу же уведомляет об этом специалиста по инфор- мационной безопасности. При определенных настройках можно блокировать действия таких учетных записей. Makves DCAP может перезагрузить машину или полностью забло- кировать пользователя, таким образом предотвратив угрозу. – Чем грозит неконтро- лируемое хранилище дан- ных в плане общей защи- щенности? – Все привыкли, что опасность возникает лишь при пересече- нии информационного перимет- ра компании. Другими словами, если нас хакеры не атакуют, инсайдеры ничего наружу не отправляют, то с безопасностью полный порядок. Но это не совсем так. Однажды выясняет- ся, что внутри компании у всех общий доступ к коммерческой тайне. Или, например, у кого-то есть доступ к почте директора и этот кто-то ее читает. Мы считаем, что утечка информации происходит не в момент пересечения данными периметра, а в момент получе- ния человеком доступа к этой информации. По сути, если у всех сотрудников есть доступ ко всем файлам, то вся компа- ния состоит из потенциальных инсайдеров. И конечно, повы- шается нагрузка на остальные системы защиты информации, которые контролируют пери- метр. – Можно ли восприни- мать DCAP как замену DLP? – Я бы очень этого хотел, но это не так. Все-таки у каждого решения должна быть узкая специализация. У нашего про- дукта – специализированная ниша и конкретная задача. Ситуация с подобными систе- мами на американском рынке показывает, что это ниша с четко очерченными границами: в ее ведении все, что происхо- дит внутри периметра с файла- ми и правами доступа. Наши заказчики отмечают, что DCAP видит то, что не видит DLP, таким образом решения допол- няют друг–друга. – Можно ли сказать, что спрос на DCAP-системы уже сфомировался? – На российском рынке спрос на DCAP только начинает фор- мироваться. Но как только мы показываем заказчикам резуль- тат пилотного развертывания в рамках "живой" ИТ-инфра- структуры и на их реальных данных, то сразу становится понятно, как обосновать необхо- димость внедрения такого решения. Когда, например, уво- ленный сотрудник полгода не только продолжает читать свою почту, но и к тому же имеет доступ к файлам внутри пери- метра, чего до установки нашей системы никто не замечал – это является серьезным аргу- ментом. – Кто ваши заказчики? – Нашими заказчиками являются представители сред- него и крупного бизнеса. Основ- ной маркер для нас – наличие в компании зрелого отдела информационной безопасности или ИТ-отдела с руководителем. Потому что если всё в руках администратора или приходя- щего администратора (у того, кто не принимает важных реше- ний, у которого нет заинтересо- ванности в эффективной рабо- те), то у заказчика не будет понимания, зачем ему необхо- дим наш продукт. Крупный биз- нес понимает, что Makves DCAP находится на стыке безопасно- сти и ИТ и может оптимизиро- вать работу этих подразделе- ний. – Планируете ли серти- фицировать продукт? – Да, получение сертификата ФСТЭК планируется в следую- щем году. l • 43 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru